Las amenazas internas son amenazas a la ciberseguridad que tienen su origen en usuarios autorizados, como empleados, contratistas y socios comerciales, que intencionada o accidentalmente hacen un uso indebido de su acceso legítimo, o cuyas cuentas son secuestradas por ciberdelincuentes.
Aunque las amenazas externas son más comunes y acaparan los titulares de los ciberataques más importantes, las amenazas internas, ya sean malintencionadas o fruto de la negligencia, pueden ser más costosas y peligrosas. Según el Informe "Coste de una filtración de datos" de 2023 de IBM, las vulneraciones de datos iniciadas por intrusos malintencionados fueron las más costosas, en torno a los 4,90 millones de dólares de media, es decir, un 9,5 % más que el coste medio de las vulneraciones de datos, que fue de 4,45 millones de dólares. Un reciente informe de Verizon reveló que, aunque la media de amenazas externas externas pone en peligro alrededor de 200 millones de registros, los incidentes que implican a un actor interno han dado lugar a una exposición de 1 millones de registros o más.1
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
Los intrusos malintencionados suelen ser empleados actuales descontentos, o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado, que hacen mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos intrusos malintencionados "trabajan" para un intruso malintencionado, como un pirata informático, un competidor o un agente de un Estado-nación, para perturbar las operaciones de la empresa (instalar malware o manipular archivos o aplicaciones) o para filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos sensibles.
Algunos ataques recientes de usuarios internos malintencionados:
Al comienzo de la pandemia de COVID-19, un ex empleado descontento de una empresa de embalaje médico utilizó una cuenta de administrador creada previamente para configurar una nueva cuenta de usuario falsa y, a continuación, alteró miles de archivos de forma que se retrasaran o detuvieran los envíos de equipos de protección personal a hospitales y proveedores de atención sanitaria (enlace externo a ibm.com).
En 2022, un empleado de X fue arrestado por enviar información privada de los usuarios de X a funcionarios del Reino de Arabia Saudí y a la familia real saudí a cambio de sobornos (enlace externo a ibm.com). Según el Departamento de Justicia de Estados Unidos, el empleado "...actuó en secreto como agente de un gobierno extranjero contra voces disidentes".
Los empleados negligentes no tienen intenciones maliciosas, pero crean amenazas a la seguridad por ignorancia o descuido, por ejemplo, cayendo en un ataque de phishing, saltándose los controles de seguridad para ahorrar tiempo, perdiendo un portátil que un ciberdelincuente puede utilizar para acceder a la red de la organización o enviando por correo electrónico archivos incorrectos (como archivos que contienen información sensible) a personas ajenas a la organización.
Entre las empresas encuestadas en el informe mundial Ponemon sobre el coste de las amenazas internas de 2022, la mayoría de las amenazas internas, el 56 %, se debieron a personas con información privilegiada negligente o negligente.2
Las personas internas comprometidas son usuarios legítimos cuyas credenciales han sido robadas por agentes externos. Las amenazas que se lanzan a través de información privilegiada comprometida son las más caras, ya que, según el informe Ponemon, su corrección cuesta a las víctimas una media de 804 997 dólares.3
A menudo, una persona se convierte en persona interna comprometida como resultado de un comportamiento negligente por su parte. Por ejemplo, en 2021 un estafador utilizó una táctica de ingeniería social, concretamente una llamada telefónica de phishing por voz (vishing) para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma de negociación Robinson. En el ataque se robaron más de 5 millones de direcciones de correo electrónico y 2 millones de nombres de clientes. (enlace externo a ibm.com).
Dado que las amenazas internas son ejecutadas en parte o en su totalidad por usuarios con credenciales completas, y a veces por usuarios privilegiados, puede ser especialmente difícil separar los indicadores o comportamientos descuidados o maliciosos de amenazas internas de las acciones y comportamientos de usuarios normales. Según un estudio, los equipos de seguridad tardan una media de 85 días en detectar y contener una amenaza interna 4, pero algunas amenazas internas han pasado desapercibidas durante años (enlace externo a ibm.com).
Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.
La formación continua de todos los usuarios autorizados sobre la política de seguridad (como la higiene de contraseñas, el manejo adecuado de datos confidenciales y la notificación de dispositivos perdidos) y la concienciación en materia de seguridad (cómo reconocer una estafa de phishing, cómo dirigir correctamente las solicitudes de acceso al sistema o a datos confidenciales) puede ayudar a reducir el riesgo de amenazas internas por negligencia. La formación también puede mitigar el impacto de las amenazas en general. Por ejemplo, según el Informe "Coste de una filtración de datos" de 2023, el coste medio de una vulneración de datos en las empresas con formación de sus empleados fue 232 867 USD menos (un 5,2 por ciento menos) que el coste medio general de una violación de datos.
La gestión de identidades y accesos (IAM) se centra en gestionar las identidades de los usuarios, la autenticación y los permisos de acceso, de forma que se garantice que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. La gestión de accesos privilegiados, una subdisciplina de la IAM, se centra en un control más preciso de los privilegios de acceso concedidos a usuarios, aplicaciones, cuentas administrativas y dispositivos.
Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento que se marcha o dar de baja inmediatamente las cuentas de los usuarios que han abandonado la empresa son ejemplos de acciones de gestión del ciclo de vida de las identidades que pueden reducir el riesgo de amenazas internas.
El análisis del comportamiento de los usuarios (UBA) aplica el análisis avanzado de datos y la inteligencia artificial (IA) para modelar los comportamientos básicos de los usuarios y detectar anomalías que puedan indicar anomalías que puedan indicar ciberamenazas emergentes o en curso, incluidas posibles amenazas internas. Una tecnología estrechamente relacionada, análisis del comportamiento de usuarios y entidades o UEBA, amplía estas capacidades para detectar comportamientos anómalos en sensores IoT y otros dispositivos de endpoint.
El UBA se utiliza frecuentemente junto con la gestión de eventos e información de seguridad (SIEM), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.
La seguridad ofensiva (o OffSec) utiliza tácticas adversarias, las mismas que utilizan los malos actores en los ataques del mundo real para reforzar la seguridad de la red en lugar de ponerla en peligro. La seguridad ofensiva suele correr a cargo de hackers éticos, profesionales de la ciberseguridad que utilizan sus conocimientos de piratería informática para detectar y corregir no sólo los fallos de los sistemas informáticos, sino también los riesgos de seguridad y las vulnerabilidades en la forma en que los usuarios responden a los ataques.
Las medidas de seguridad ofensiva que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de phishing y equipos rojos, donde un equipo de hackers éticos lanza un ciberataque simulado y orientado a objetivos contra objetivos contra la organización.
Proteja a su organización de las amenazas malintencionadas o involuntarias de personas con acceso a su red. Las amenazas internas pueden ser difíciles de detectar. La mayoría de los casos pasan desapercibidos durante meses o años.
Proteja los activos cruciales y gestione el ciclo de vida completo de las amenazas con un enfoque de gestión de amenazas inteligente y unificado que le ayuda a detectar las amenazas avanzadas, responder rápidamente con precisión y recuperarse de las interrupciones.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
Información de seguridad y gestión de eventos (SIEM) que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad de seguridad antes de que puedan interrumpir las operaciones empresariales.
Conocer la amenaza para vencer a la amenaza Obtenga información práctica que le ayude a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger su organización de forma proactiva.
Comprenda su panorama de ciberseguridad y priorice iniciativas junto con arquitectos y consultores senior de IBM Security en una sesión de pensamiento de diseño de tres horas, virtual o presencial, sin coste alguno.
La gestión de amenazas es un proceso empleado por los profesionales de la ciberseguridad para prevenir ataques, detectar ciberamenazas y responder a incidentes de seguridad.
Lea las últimas tendencias y técnicas de prevención de amenazas internas en Security Intelligence, el blog de liderazgo intelectual alojado por IBM Security.
Notas a pie de página
1 Informe de investigaciones de violación de datos de Verizon 2023 (enlace externo)
2, 3, 4 2022 Informe global sobre el coste del ponemon de las amenazas internas (para Proofpoint; enlace externo)